Federação com provedores de identidade SAML/WS-Fed para usuários convidados

Nota

  • A federação direta no Microsoft Entra External ID agora é conhecida como federação SAML/WS-Fed identity provider (IdP).

Este artigo descreve como configurar a federação com qualquer organização cujo provedor de identidade (IdP) ofereça suporte ao protocolo SAML 2.0 ou WS-Fed. Quando você configura a federação com o IdP de um parceiro, os novos usuários convidados desse domínio podem usar sua própria conta organizacional gerenciada pelo IdP para entrar no locatário do Microsoft Entra e começar a colaborar com você. Não há necessidade de o usuário convidado criar uma conta separada do Microsoft Entra.

Importante

  • Agora você pode configurar a federação de IdP SAML/WS-Fed com domínios verificados do Microsoft Entra ID e configurar a ordem de resgate de convite (visualização) para garantir que, quando os usuários convidados entrarem, eles resgatem seus convites usando o IdP federado em vez do ID do Microsoft Entra. As configurações de ordem de resgate (visualização) estão disponíveis em suas configurações de acesso entre locatários para colaboração B2B de entrada.
  • Não suportamos mais uma lista de permissões de IdPs para novas federações de IdP SAML/WS-Fed. Ao configurar uma nova federação externa, consulte a Etapa 1: determinar se o parceiro precisa atualizar seus registros de texto DNS.
  • Na solicitação SAML enviada pelo Microsoft Entra ID para federações externas, a URL do Emissor é um ponto de extremidade locado. Para quaisquer novas federações, recomendamos que todos os nossos parceiros definam o público do IdP baseado em SAML ou WS-Fed como um ponto de extremidade locado. Consulte as seções SAML 2.0 e WS-Fed required attributes and claims. Todas as federações existentes configuradas com o ponto de extremidade global continuarão a funcionar, mas as novas federações deixarão de funcionar se o IdP externo estiver esperando uma URL de emissor global na solicitação SAML.
  • Removemos a limitação de domínio único. Agora você pode associar vários domínios a uma configuração de federação individual.
  • Removemos a limitação que exigia que o domínio da URL de autenticação correspondesse ao domínio de destino ou fosse de um IdP permitido. Para obter detalhes, consulte Etapa 1: determinar se o parceiro precisa atualizar seus registros de texto DNS.

Quando um usuário convidado é autenticado com a federação de IdP SAML/WS-Fed?

Depois de configurar a federação com o IdP SAML/WS-Fed de uma organização:

  • Se o domínio com o qual você está federando não for um domínio verificado pelo Microsoft Entra ID, todos os novos usuários convidados que você convidar serão autenticados usando esse IdP SAML/WS-Fed.
  • Se o domínio for Microsoft Entra ID verificado, você também precisará configurar as configurações de ordem de resgate (visualização) em suas configurações de acesso entre locatários para colaboração B2B de entrada para priorizar o resgate com o IdP federado. Em seguida, todos os novos usuários convidados que você convidou serão autenticados usando esse IdP SAML/WS-Fed.

É importante observar que a configuração da federação não altera o método de autenticação para usuários convidados que já resgataram um convite seu. Seguem-se alguns exemplos:

  • Os usuários convidados já resgataram convites de você e, posteriormente, você configura a federação com o IdP SAML/WS-Fed da organização. Esses usuários convidados continuam a usar o mesmo método de autenticação que usavam antes de configurar a federação.
  • Você configura a federação com o IdP SAML/WS-Fed de uma organização e convida usuários convidados e, em seguida, a organização parceira passa posteriormente para o Microsoft Entra ID. Os usuários convidados que já resgataram convites continuam a usar o IdP federado SAML/WS-Fed, desde que a política de federação em seu locatário exista.
  • Você exclui a federação com o IdP SAML/WS-Fed de uma organização. Todos os usuários convidados que usam atualmente o IdP SAML/WS-Fed não conseguem entrar.

Em qualquer um desses cenários, você pode atualizar o método de autenticação de um usuário convidado redefinindo seu status de resgate.

A federação de IdP SAML/WS-Fed está vinculada a namespaces de domínio, como contoso.com e fabrikam.com. Ao estabelecer federação com o AD FS ou um IdP de terceiros, as organizações associam um ou mais namespaces de domínio a esses IdPs.

Experiência do utilizador final

Com a federação de IdP SAML/WS-Fed, os usuários convidados entram em seu locatário do Microsoft Entra usando sua própria conta organizacional. Quando eles estão acessando recursos compartilhados e são solicitados a entrar, os usuários são redirecionados para seu IdP. Após o início de sessão bem-sucedido, os utilizadores são devolvidos ao Microsoft Entra ID para aceder aos recursos. Se a sessão do Microsoft Entra expirar ou se tornar inválida e o IdP federado tiver o SSO habilitado, o usuário experimentará o SSO. Se a sessão do usuário federado for válida, o usuário não será solicitado a entrar novamente. Caso contrário, o usuário será redirecionado para seu IdP para entrar.

Pontos finais de início de sessão

Os usuários convidados da federação SAML/WS-Fed IdP agora podem entrar em seus aplicativos multilocatários ou primários da Microsoft usando um ponto de extremidade comum (em outras palavras, uma URL geral do aplicativo que não inclui o contexto do locatário). Durante o processo de início de sessão, o utilizador convidado escolhe Opções de início de sessão e, em seguida, seleciona Iniciar sessão numa organização. Em seguida, o usuário digita o nome da sua organização e continua entrando usando suas próprias credenciais.

Os usuários convidados da federação IdP SAML/WS-Fed também podem usar pontos de extremidade de aplicativo que incluem suas informações de locatário, por exemplo:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Você também pode fornecer aos usuários convidados um link direto para um aplicativo ou recurso incluindo suas informações de locatário, por exemplo https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Perguntas mais frequentes

Posso configurar a federação IdP SAML/WS-Fed com domínios verificados pelo Microsoft Entra ID?

Sim, agora você pode configurar a federação de IdP SAML/WS-Fed com outros domínios verificados pelo Microsoft Entra ID. Isso inclui domínios verificados em que o locatário passou por uma aquisição administrativa. Se o domínio com o qual você está federando for o Microsoft Entra ID verificado, você também precisará configurar as configurações de ordem de resgate (visualização) em suas configurações de acesso entre locatários para colaboração B2B de entrada para garantir que, quando os usuários convidados entrarem, eles resgatem seus convites usando o IdP federado em vez do ID do Microsoft Entra.

Atualmente, as configurações de ordem de resgate não são suportadas nas nuvens. Se o domínio com o qual você está federando for o ID do Microsoft Entra verificado em uma nuvem diferente da Microsoft, o resgate do Microsoft Entra sempre terá precedência.

Posso configurar a federação de IdP SAML/WS-Fed com um domínio para o qual existe um locatário não gerenciado (verificado por email)?

Sim, você pode configurar a federação de IdP SAML/WS-Fed com domínios que não são verificados pelo DNS na ID do Microsoft Entra, incluindo locatários não gerenciados (verificados por e-mail ou "virais") do Microsoft Entra. Esses locatários são criados quando um usuário resgata um convite B2B ou executa a inscrição de autoatendimento para o Microsoft Entra ID usando um domínio que não existe no momento.

Quantas relações de federação posso criar?

Atualmente, há suporte para um máximo de 1.000 relações de federação. Esse limite inclui federações internas e federações de IdP SAML/WS-Fed.

Posso configurar a federação com vários domínios do mesmo locatário?

Sim, agora oferecemos suporte à federação de IdP SAML/WS-Fed com vários domínios do mesmo locatário.

Preciso renovar o certificado de assinatura quando ele expirar?

Se você especificar a URL de metadados nas configurações do IdP, o Microsoft Entra ID renovará automaticamente o certificado de assinatura quando ele expirar. No entanto, se o certificado for alternado por qualquer motivo antes do tempo de expiração, ou se você não fornecer uma URL de metadados, o Microsoft Entra ID não poderá renová-lo. Nesse caso, você precisa atualizar o certificado de assinatura manualmente.

Se a federação IdP SAML/WS-Fed e a autenticação de senha única de e-mail estiverem habilitadas, qual método terá precedência?

Quando a federação de IdP SAML/WS-Fed é estabelecida com uma organização parceira, ela tem precedência sobre a autenticação de senha única de e-mail para novos usuários convidados dessa organização. Se um usuário convidado resgatou um convite usando a autenticação de senha única antes de configurar a federação de IdP SAML/WS-Fed, ele continuará a usar a autenticação de senha única.

A federação SAML/WS-Fed IdP resolve problemas de entrada devido a uma locação parcialmente sincronizada?

Não, o recurso de senha única de e-mail deve ser usado nesse cenário. Uma "locação parcialmente sincronizada" refere-se a um locatário parceiro do Microsoft Entra onde as identidades de usuário locais não são totalmente sincronizadas com a nuvem. Um hóspede cuja identidade ainda não existe na nuvem, mas que tenta resgatar seu convite B2B, não consegue entrar. O recurso de senha única permitiria que esse convidado entrasse. O recurso de federação de IdP SAML/WS-Fed aborda cenários em que o convidado tem sua própria conta organizacional gerenciada pelo IdP, mas a organização não tem presença no Microsoft Entra.

Depois que a federação de IdP SAML/WS-Fed é configurada com uma organização, cada convidado precisa ser enviado e resgatar um convite individual?

Ao convidar novos hóspedes, você ainda precisa enviar convites ou fornecer links diretos para que os hóspedes possam concluir as etapas de resgate. Para hóspedes existentes, você não precisa necessariamente enviar novos convites. Os convidados existentes continuarão usando o método de autenticação que usavam antes da configuração da federação. Se quiser que esses convidados comecem a usar a federação para autenticação, você pode redefinir o status de resgate deles. Em seguida, da próxima vez que eles acessarem seu aplicativo ou usarem o link em seu convite, eles repetirão o processo de resgate e começarão a usar a federação como método de autenticação.

Existe uma maneira de enviar uma solicitação assinada para o provedor de identidade SAML?

Atualmente, o recurso de federação Microsoft Entra SAML/WS-Fed não oferece suporte ao envio de um token de autenticação assinado para o provedor de identidade SAML.

Que permissões são necessárias para configurar um provedor de identidade SAML/Ws-Fed?

Você precisa ser um Administrador de Provedor de Identidade Externo ou um Administrador Global em seu locatário do Microsoft Entra para configurar um provedor de identidade SAML/Ws-Fed.

Etapa 1: Determinar se o parceiro precisa atualizar seus registros de texto DNS

Dependendo do IdP do parceiro, ele pode precisar atualizar seus registros DNS para habilitar a federação com você. Use as etapas a seguir para determinar se as atualizações de DNS são necessárias.

Nota

Não suportamos mais uma lista de permissões de IdPs para novas federações de IdP SAML/WS-Fed.

  1. Verifique a URL de autenticação passiva do IdP do parceiro para ver se o domínio corresponde ao domínio de destino ou a um host dentro do domínio de destino. Em outras palavras, ao configurar a federação para fabrikam.com:

    • Se o ponto de extremidade de autenticação passiva for https://fabrikam.com ou https://sts.fabrikam.com/adfs (um host no mesmo domínio), nenhuma alteração de DNS será necessária.
    • Se o ponto de extremidade de autenticação passiva for https://fabrikamconglomerate.com/adfs ou https://fabrikam.com.uk/adfs, o domínio não corresponder ao domínio fabrikam.com, portanto, o parceiro precisará adicionar um registro de texto para a URL de autenticação à sua configuração de DNS.
  2. Se forem necessárias alterações de DNS com base na etapa anterior, peça ao parceiro para adicionar um registro TXT aos registros DNS do domínio, como o exemplo a seguir:

    fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

Etapa 2: Configurar o IdP da organização parceira

Em seguida, sua organização parceira precisa configurar seu IdP com as declarações necessárias e as relações de confiança da terceira parte confiável.

Nota

Para ilustrar como configurar um IdP SAML/WS-Fed para federação, usaremos os Serviços de Federação do Ative Directory (AD FS) como exemplo. Consulte o artigo Configure SAML/WS-Fed IdP federation with AD FS, que fornece exemplos de como configurar o AD FS como um SAML 2.0 ou WS-Fed IdP em preparação para a federação.

Configuração do SAML 2.0

O Microsoft Entra B2B pode ser configurado para federar com IdPs que usam o protocolo SAML com requisitos específicos listados nesta seção. Para obter mais informações sobre como configurar uma relação de confiança entre seu IdP SAML e o ID do Microsoft Entra, consulte Usar um provedor de identidade (IdP) SAML 2.0 para SSO.

Nota

Agora você pode configurar a federação de IdP SAML/WS-Fed com outros domínios verificados pelo Microsoft Entra ID. Consulte a seção Perguntas frequentes para obter detalhes.

Atributos e declarações SAML 2.0 necessários

As tabelas a seguir mostram os requisitos para atributos e declarações específicos que devem ser configurados no IdP de terceiros. Para configurar a federação, os seguintes atributos devem ser recebidos na resposta SAML 2.0 do IdP. Esses atributos podem ser configurados vinculando-os ao arquivo XML do serviço de token de segurança online ou inserindo-os manualmente.

Nota

Certifique-se de que o valor corresponde à nuvem para a qual está a configurar a federação externa.

Atributos necessários para a resposta SAML 2.0 do IdP:

Atributo Value
AssertionConsumerService https://login.microsoftonline.com/login.srf
Audiência https://login.microsoftonline.com/<tenant ID>/ (Recomendado) Substitua <tenant ID> pela ID do locatário do Microsoft Entra com o qual você está configurando a federação.

Na solicitação SAML enviada pelo Microsoft Entra ID para federações externas, a URL do Emissor é um ponto de extremidade locatário (por exemplo, https://login.microsoftonline.com/<tenant ID>/). Para quaisquer novas federações, recomendamos que todos os nossos parceiros definam o público do IdP baseado em SAML ou WS-Fed como um ponto de extremidade locado. Todas as federações existentes configuradas com o ponto de extremidade global (por exemplo, urn:federation:MicrosoftOnline) continuarão a funcionar, mas as novas federações deixarão de funcionar se o seu IdP externo estiver esperando uma URL de emissor global na solicitação SAML enviada pela ID do Microsoft Entra.
Emissor O URI do emissor do IdP do parceiro, por exemplo http://www.example.com/exk10l6w90DHM0yi...

Declarações necessárias para o token SAML 2.0 emitido pelo IdP:

Nome do Atributo Value
Formato NameID urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress endereço de e-mail

Configuração do WS-Fed

O Microsoft Entra B2B pode ser configurado para federar com IdPs que usam o protocolo WS-Fed. Esta seção discute os requisitos. Atualmente, os dois provedores WS-Fed foram testados quanto à compatibilidade com o Microsoft Entra ID, incluindo AD FS e Shibboleth. Para obter mais informações sobre como estabelecer uma confiança de terceira parte confiável entre um provedor compatível com WS-Fed com o Microsoft Entra ID, consulte o "Documento de integração STS usando protocolos WS" disponível nos documentos de compatibilidade do provedor de identidade Microsoft Entra.

Nota

Agora você pode configurar a federação de IdP SAML/WS-Fed com outros domínios verificados pelo Microsoft Entra ID. Consulte a seção Perguntas frequentes para obter detalhes.

Atributos e declarações WS-Fed necessários

As tabelas a seguir mostram os requisitos para atributos e declarações específicos que devem ser configurados no IdP WS-Fed de terceiros. Para configurar a federação, os seguintes atributos devem ser recebidos na mensagem WS-Fed do IdP. Esses atributos podem ser configurados vinculando-os ao arquivo XML do serviço de token de segurança online ou inserindo-os manualmente.

Nota

Certifique-se de que o valor corresponde à nuvem para a qual está a configurar a federação externa.

Atributos necessários na mensagem WS-Fed do IdP:

Atributo Value
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
Audiência https://login.microsoftonline.com/<tenant ID>/ (Recomendado) Substitua <tenant ID> pela ID do locatário do Microsoft Entra com o qual você está configurando a federação.

Na solicitação SAML enviada pelo Microsoft Entra ID para federações externas, a URL do Emissor é um ponto de extremidade locatário (por exemplo, https://login.microsoftonline.com/<tenant ID>/). Para quaisquer novas federações, recomendamos que todos os nossos parceiros definam o público do IdP baseado em SAML ou WS-Fed como um ponto de extremidade locado. Todas as federações existentes configuradas com o ponto de extremidade global (por exemplo, urn:federation:MicrosoftOnline) continuarão a funcionar, mas as novas federações deixarão de funcionar se o seu IdP externo estiver esperando uma URL de emissor global na solicitação SAML enviada pela ID do Microsoft Entra.
Emissor O URI do emissor do IdP do parceiro, por exemplo http://www.example.com/exk10l6w90DHM0yi...

Declarações necessárias para o token WS-Fed emitido pelo IdP:

Atributo Value
ID imutável http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
endereço de e-mail http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Etapa 3: Configurar a federação de IdP SAML/WS-Fed no Microsoft Entra ID

Em seguida, configure a federação com o IdP configurado na etapa 1 no Microsoft Entra ID. Você pode usar o centro de administração do Microsoft Entra ou a API do Microsoft Graph. Pode levar de 5 a 10 minutos até que a política de federação entre em vigor. Durante esse período, não tente resgatar um convite para o domínio de federação. Os seguintes atributos são necessários:

  • URI do emissor do IdP do parceiro
  • Ponto de extremidade de autenticação passiva do IdP do parceiro (apenas https é suportado)
  • Certificado

Para configurar a federação no centro de administração do Microsoft Entra

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador do Provedor de Identidade Externo.

  2. Navegue até Identidades>externas>Todos os provedores de identidade.

  3. Selecione Novo IdP SAML/WS-Fed.

    Screenshot showing button for adding a new SAML or WS-Fed IdP.

  4. Na página Novo IdP SAML/WS-Fed, insira o seguinte:

    • Nome para exibição - Insira um nome para ajudá-lo a identificar o IdP do parceiro.
    • Protocolo do provedor de identidade - Selecione SAML ou WS-Fed.
    • Nome de domínio do IdP federador - Insira o nome de domínio de destino do IdP do seu parceiro para federação. Durante essa configuração inicial, insira apenas um nome de domínio. Você pode adicionar mais domínios mais tarde.

    Screenshot showing the new SAML or WS-Fed IdP page.

  5. Selecione um método para preencher metadados. Você pode Inserir metadados manualmente ou, se tiver um arquivo que contenha os metadados, poderá preencher automaticamente os campos selecionando Analisar arquivo de metadados e procurando o arquivo.

    • URI do emissor - O URI do emissor do IdP do parceiro.
    • Ponto de extremidade de autenticação passiva - O ponto de extremidade de solicitante passivo do IdP parceiro.
    • Certificado - A ID do certificado de assinatura.
    • URL de metadados - O local dos metadados do IdP para renovação automática do certificado de assinatura.

    Screenshot showing metadata fields.

    Nota

    O URL dos metadados é opcional, no entanto, recomendamos vivamente. Se você fornecer a URL de metadados, o Microsoft Entra ID poderá renovar automaticamente o certificado de assinatura quando ele expirar. Se o certificado for girado por qualquer motivo antes do tempo de expiração ou se você não fornecer uma URL de metadados, o Microsoft Entra ID não poderá renová-lo. Nesse caso, você precisará atualizar o certificado de assinatura manualmente.

  6. Selecione Guardar. O provedor de identidade é adicionado à lista de provedores de identidade SAML/WS-Fed.

    Screenshot showing the SAML/WS-Fed identity provider list with the new entry.

  7. (Opcional) Para adicionar mais nomes de domínio a este provedor de identidade federativa:

    1. Selecione o link na coluna Domínios .

      Screenshot showing the link for adding domains to the SAML/WS-Fed identity provider.

    2. Ao lado de Nome de domínio do IdP federador, digite o nome de domínio e selecione Adicionar. Repita para cada domínio que você deseja adicionar. Quando tiver terminado, selecione Concluído.

      Screenshot showing the Add button in the domain details pane.

Para configurar a federação usando a API do Microsoft Graph

Você pode usar o tipo de recurso samlOrWsFedExternalDomainFederation da API do Microsoft Graph para configurar a federação com um provedor de identidade que ofereça suporte ao protocolo SAML ou WS-Fed.

Etapa 4: Configurar a ordem de resgate (visualização) para domínios verificados do Microsoft Entra ID

Se o domínio for Microsoft Entra ID verificado, configure as configurações de ordem de resgate em suas configurações de acesso entre locatários para colaboração B2B de entrada. Mova os provedores de identidade SAML/WS-Fed para o topo da lista Provedores de identidade primários para priorizar o resgate com o IdP federado.

Nota

As configurações do centro de administração do Microsoft Entra para o recurso de resgate configurável estão sendo implementadas para os clientes. Até que as configurações estejam disponíveis no centro de administração, você pode configurar a ordem de resgate do convite usando a API REST do Microsoft Graph (versão beta). Consulte Exemplo 2: Atualizar a configuração padrão de resgate de convite na documentação de referência do Microsoft Graph.

Etapa 5: Testar a federação SAML/WS-Fed IdP no Microsoft Entra ID

Agora teste sua configuração de federação convidando um novo usuário convidado B2B. Para obter detalhes, consulte Adicionar usuários de colaboração B2B do Microsoft Entra no centro de administração do Microsoft Entra.

Como atualizo o certificado ou os detalhes de configuração?

Na página Todos os provedores de identidade, você pode exibir a lista de provedores de identidade SAML/WS-Fed que você configurou e suas datas de expiração de certificado. Nessa lista, você pode renovar certificados e modificar outros detalhes de configuração.

Screenshot showing an identity provider in the SAML WS-Fed list

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador do Provedor de Identidade Externo.

  2. Navegue até Identidades>externas>Todos os provedores de identidade.

  3. Em Provedores de identidade SAML/WS-Fed, role até um provedor de identidade na lista ou use a caixa de pesquisa.

  4. Para atualizar o certificado ou modificar os detalhes da configuração:

    • Na coluna Configuração do provedor de identidade, selecione o link Editar.
    • Na página de configuração, modifique qualquer um dos seguintes detalhes:
      • Nome para exibição - Nome para exibição da organização do parceiro.
      • Protocolo do provedor de identidade - Selecione SAML ou WS-Fed.
      • Ponto de extremidade de autenticação passiva - O ponto de extremidade de solicitante passivo do IdP parceiro.
      • Certificado - A ID do certificado de assinatura. Para renová-lo, insira um novo ID de certificado.
      • URL de metadados - A URL que contém os metadados do parceiro, usada para a renovação automática do certificado de assinatura.
    • Selecione Guardar.

    Screenshot of the IDP configuration details.

  5. Para editar os domínios associados ao parceiro, selecione o link na coluna Domínios . No painel de detalhes do domínio:

    • Para adicionar um domínio, digite o nome de domínio ao lado de Nome de domínio do IdP federativo e selecione Adicionar. Repita para cada domínio que você deseja adicionar.
    • Para excluir um domínio, selecione o ícone de exclusão ao lado do domínio.
    • Quando tiver terminado, selecione Concluído.

    Screenshot of the domain configuration page

    Nota

    Para remover a federação com o parceiro, exclua todos os domínios, exceto um, e siga as etapas na próxima seção.

Como faço para remover a federação?

Você pode remover sua configuração de federação. Se você fizer isso, os usuários convidados da federação que já resgataram seus convites não poderão mais entrar. Mas você pode dar a eles acesso aos seus recursos novamente redefinindo o status de resgate. Para remover uma configuração de um IdP no centro de administração do Microsoft Entra:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador do Provedor de Identidade Externo.

  2. Navegue até Identidades>externas>Todos os provedores de identidade.

  3. Em Provedores de identidade SAML/WS-Fed, role até o provedor de identidade na lista ou use a caixa de pesquisa.

  4. Selecione o link na coluna Domínios para visualizar os detalhes do domínio do IdP.

  5. Exclua todos, exceto um, dos domínios na lista Nome de domínio .

  6. Selecione Excluir configuração e, em seguida, selecione Concluído.

    Screenshot of deleting a configuration.

  7. Selecione OK para confirmar a exclusão.

Você também pode remover a federação usando o tipo de recurso samlOrWsFedExternalDomainFederation da API do Microsoft Graph.

Próximos passos

Saiba mais sobre a experiência de resgate de convites quando usuários externos entram com vários provedores de identidade.